GMT 0130-2023 基于SM2算法的無證書及隱式證書公鑰機(jī)制

中華人民共和國密碼行業(yè)標(biāo)準(zhǔn)國家密碼管理局發(fā)布IGM/T0130—2023 Ⅲ 1 1 1 24.1符號 24.2縮略語 3 3 3 4 45.4用戶標(biāo)識信息 4 56.1主密鑰生成機(jī)制 56.2用戶密鑰對生成機(jī)制 56.3用戶密鑰對生成流程 5 66.5用戶密鑰對校驗(yàn)流程 7 77.1數(shù)字簽名的生成機(jī)制 77.2數(shù)字簽名的驗(yàn)證機(jī)制 8 88.1加密機(jī)制 88.2解密機(jī)制 8附錄A(資料性)機(jī)制數(shù)據(jù)示例 9附錄B(資料性)機(jī)制在隱式證書應(yīng)用中的應(yīng)用示例 附錄C(資料性)機(jī)制在工業(yè)互聯(lián)網(wǎng)標(biāo)識解析系統(tǒng)中的應(yīng)用示例 附錄D(資料性)密鑰生成中心用戶密鑰的確定性生成方法 21 Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工汽車研究院有限公司、國家工業(yè)信息安全發(fā)展研究中心電汽數(shù)據(jù)(天津)有限公份有限公司、中國聯(lián)通中訊郵電咨面沒目院有限公蠻溫國得能家電研究院有限公司、國家信息安股份有限公司本文件主要起草人：程朝用方悲澤、劉建陳雪馮定里、翟眼江宗斌、馮梅，王沖華、袁峰、李志虎、馬照亭、劉奇旭、譚儒徐國愛、張永強(qiáng)強(qiáng)、李麗娟、工娜娜張金池、陳中林、周光濤、Al-Riyami和Paterson在2003年提出無證書公鑰密碼(Certificateless-PublicKeyCryptography)。無證書公鑰系統(tǒng)不依賴數(shù)字證書驗(yàn)證用戶的標(biāo)識和公鑰委托功能。擴(kuò)展后的無證書公鑰密碼模型和安全定義允許基于標(biāo)準(zhǔn)公鑰密碼算法構(gòu)造無證書公鑰隱式證書(ImplicitCertificate)不包括證書簽發(fā)機(jī)構(gòu)的簽名且證書處理者需要根據(jù)證書中的數(shù)據(jù)本文件描述基于SM2算法構(gòu)造的無證書公鑰機(jī)制和隱式證書公鑰本文件的發(fā)布機(jī)構(gòu)提請注意，聲明符合本文件時(shí)，可能涉及與第6章、第7章相關(guān)的ZL2017該專利持有人已向本文件的發(fā)布機(jī)構(gòu)承諾，他愿意同任何申請人在合理且無歧視的條款和條件下，就專利授權(quán)許可進(jìn)行談判。該專利持有人的聲明已在本文件地址：深圳市寶安區(qū)寶興路海納百川B座16樓請注意除上述專利外，本文件的某些內(nèi)容仍可能涉及專利。本文件的發(fā)布機(jī)構(gòu)1基于SM2算法的無證書及隱式證書公鑰機(jī)制1范圍本文件規(guī)定基于SM2算法的無證書及隱式證書公鑰機(jī)制，包括密鑰生成與校驗(yàn)機(jī)制、數(shù)字簽名機(jī)本文件規(guī)定的數(shù)字簽名機(jī)制適用于商用密碼應(yīng)用中的數(shù)字簽名和驗(yàn)證，加密機(jī)制適用于商用密碼應(yīng)用中的消息加解密。本文件規(guī)定的機(jī)制特別適合帶寬和計(jì)算資源受限的應(yīng)用環(huán)境。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適射于本文件，不注1期的引用文件，其最新版木(包括所有的修改單)適用于本文件。GB/T32918.1-2016信息安全技本SM2橢圓曲線公鑰密碼算法二第工部分：總則GB/T32918.4—2016信息安個(gè)技術(shù)橢圓曲公鑰密碼算法第重部分：公鑰加密算法GB/T32918.5—2017信息安全技術(shù)陌圓曲鑰密碼算法第5部分：參數(shù)定義3術(shù)語和定義GB/T329181、GB人T32918.2、GB/T32918.4界定的密鑰生成中心keygenerationcenter;KGC負(fù)責(zé)選擇橢圓曲線系統(tǒng)參數(shù)、生成主密鑰并產(chǎn)生用戶部分私鑰和聲明公鑰的可信機(jī)構(gòu)。標(biāo)識identity由實(shí)體無法否認(rèn)的信息組成，如實(shí)體的可識別名稱、電子郵箱、身份證號、電話號碼、街道地址等，可唯一確定一個(gè)實(shí)體身份的信息。標(biāo)識可進(jìn)一步包括其他輔助信息，如標(biāo)識用途、標(biāo)識有效期等。主密鑰masterkey處于無證書密碼系統(tǒng)密鑰分層結(jié)構(gòu)最頂層的密鑰，包括系統(tǒng)主私鑰和系統(tǒng)主公鑰，其中系統(tǒng)主公鑰公開，系統(tǒng)主私鑰由KGC秘密保存。用戶的聲明公鑰user'sclaimedpublickey用于與橢圓曲線系統(tǒng)參數(shù)、系統(tǒng)主公鑰、用戶的標(biāo)識一起計(jì)算用戶實(shí)際公鑰的公開值。2d'A:用戶A的部分私鑰dA:用戶A的私鑰IDA:用戶A的標(biāo)識3PA:用戶A的實(shí)際公鑰xc,yc:點(diǎn)G的x軸值和y軸值LHS:本地Handle服務(wù)(Loca與校驗(yàn)機(jī)制包括主密鑰的生成機(jī)制以及用戶密鑰對的生成與校驗(yàn)機(jī)制和流程。主密鑰由KGC生無證書以及基于隱式證書的數(shù)字簽名機(jī)制和公鑰加密機(jī)制分別基于標(biāo)準(zhǔn)的基礎(chǔ)數(shù)字簽名算法4橢圓曲線系統(tǒng)參數(shù)及其驗(yàn)證應(yīng)符合GB/T32918.1—2016中第5章及GB/T32918.5—2017的本文件規(guī)定使用的數(shù)字簽名生成算法SIGN和數(shù)字簽名驗(yàn)證算法VERIFY分別遵循GB/T32918.2—2016中第6章和第7章的要求。6章和第7章的要求。用戶A具有長度為entlenA比特的標(biāo)識IDA,記ENTLA是由整數(shù)entlena轉(zhuǎn)換而成的兩個(gè)字節(jié)。都采用密碼雜湊算法求得用戶A的雜湊值HA。按GB/T32918.1—2016中4.2.6和4.2.5給出的方5HA=H?56(ENTLAⅡIDAlallbl|xcllyallxpubllypb)。6密鑰生成機(jī)制及流程6.1主密鑰生成機(jī)制KGC使用隨機(jī)數(shù)ms∈[1,n-1]作為系統(tǒng)主私鑰，計(jì)算系統(tǒng)主公鑰Ppb=[ms]G。KGC應(yīng)采取必要安全措施保障主私鑰ms的安全性。用戶A和KGC一起協(xié)同生成用戶的密鑰對：用戶私鑰dA和聲明公鑰WA。兩者應(yīng)實(shí)現(xiàn)以下運(yùn)算A?:用戶A用隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)d'A∈[1,n-1];A?:用戶A計(jì)算UA=[d'A]G,并將標(biāo)識IDA和UA提交KGC;KGC?:KGC計(jì)算HA=Hz56(ENTLAllIDAllallblⅡxcllyallKGC?:KGC計(jì)算WA=[w]G+UA;KGC?:KGC按GB/T32918.1—2016中4.2.6和4.2.5給出的方法將WA的坐標(biāo)xwA、ywA的數(shù)據(jù)類型轉(zhuǎn)換為比特串，計(jì)算λ=H?56(xwallywAllHA)modn,按GB/T32918.1—2016中KGC?:KGC計(jì)算tA=(w+λ*ms)modn,并將tA和WA安全地返回給用戶A;A?:用戶A計(jì)算dA=(ta+d'A)modn;A?:如果0<dA<n-1,則輸出(dA,WA);否則返回A?。生成加密密鑰對時(shí)，KGC可使用確定性方法生成tA和WA。生成方法見附錄D。KGC將tA返回用戶A時(shí)可使用UA作為公鑰使用加密方法ENC加密包括tA的數(shù)據(jù)后將密文傳遞到用戶A。用戶A使用d'A解密密文后還原包括ta的數(shù)據(jù)。用戶密鑰對生成流程見圖1。6用戶A的原始數(shù)據(jù)(橢圓曲線系統(tǒng)參數(shù)、系統(tǒng)主公鑰、標(biāo)識/DA)KGC的原始數(shù)據(jù)(橢圓曲線系統(tǒng)參數(shù)、系統(tǒng)主公鑰、系統(tǒng)主私鑰)KGC第1步：計(jì)算HA=H2s(ENTLAIDAIalblx?Iy?Ixpub!y)否是輸出(dWA7A?:計(jì)算HA=H2s(ENTLAIDAllallblⅡxcllygllxpabllypub);A?:按GB/T32918.1-2016中4.2.6和4.2.5給出的方法將WA的坐標(biāo)xwA、ywA的數(shù)據(jù)類型轉(zhuǎn)換為比特串，計(jì)算λ=H?5?(xwallywallHA)modn,按GB/T32918.1—2016中4.2.4和4.2.3給出的方法將λ的數(shù)據(jù)類型轉(zhuǎn)換為整數(shù)；As:檢查PA=P'A是否成立，若成立則驗(yàn)證通過；否則驗(yàn)證不通過。6.5用戶密鑰對校驗(yàn)流程用戶密鑰對校驗(yàn)流程見圖2。第步：日t否是圖2用戶密鑰對校驗(yàn)流程7數(shù)字簽名機(jī)制7.1數(shù)字簽名的生成機(jī)制設(shè)待簽名的消息為M,為了獲取消息M的數(shù)字簽名(r,s),作為簽名者的用戶A應(yīng)實(shí)現(xiàn)以下運(yùn)算8在隱式證書系統(tǒng)中，執(zhí)行SIGN(param,ZE,ICAIlM,dA)并輸出簽名(B?:計(jì)算HA=H?s?(ENTLAllIDAllallb||B?:計(jì)算PA=WA+[λ]Ppb;B?:計(jì)算PA=WA+[λ]Ppu;A?:執(zhí)行DEC(param,C,dA)并輸出結(jié)果。9(資料性)機(jī)制數(shù)據(jù)示例A.1概述本附錄選用GB/T32905給出的密碼雜湊算法。本附錄選用GB/T32918.5給出的SM2算法參數(shù)。本附錄中，所有用16進(jìn)制表示的數(shù)，左邊為高位，右邊為低位。本附錄中，字符串采用GB/T1988編碼，消息和明文采用16進(jìn)制表示。A.2無證書系統(tǒng)密鑰生成機(jī)制數(shù)據(jù)示例橢圓曲線系統(tǒng)參數(shù)(param):q:FFFFFFFEFFFFDFFFFFFFFFFFFFFFFa:FFFFFFEEFFDFFFFEFFFFFFFFFFFFFFEEFFFFFFFF00000000FFFFFFFFFEFFFFFCb:28E9FA9E9D9F5E344D5A?E4BCF6509A?F39789FS-15AB8F92DDBCBD414D940E93n:FFFFFFFE/FFFFFFFCEF的DTEFFP7203DF6B-2Hxc:32g4AF2C1F1981159666A348FBFF2860BISKy:BO?736A2F4F67BBCE3653主密鑰：ms:6BDD93210F7941FroOngcic208FF7Den0022135c9m9ApFF9Xpb:F294B710601DE1CSD34120Ct02DseA306400315700BFT4013E56yPub:5C003EBiB50B9BBB25880778-2AA3C38E-A800E23B30B777FA用戶密鑰對生成過程數(shù)據(jù)：d'A:04914C20251A59A2C311102944C600430A02285A04331442xu:DE0ED7FDOB7D7144763189yu:3340A21A74CBD4BOD902AA50780F45E9D79E8C94C035CFP66357F9288CD02C27HA=H?s6(ENTLAllIDAllCC2DC29253D9C77385781813985D421A6C6F9CCBCE61FAD37EC79D8Bw:6CB28D99385C175C94F94E934817663FC176D925DD72B727260xwa:DB65BF80F08E3FEA9758A9490F2CywA:0728185A257F64B79DFA929C16C987ED956FB32λ=H?s?(xwallywallHA)modn:F84BBC966F668583D734971C2F4DE1CC8A620CD6E4D09488E1FBE2052EFDC9E0tA:BBB6EBEB993D1EE3E5F4C265107D3AF7C094169A0E7DDDOA7400638BE27C048380BBE577886A905D28Eyp:8C5AF329D45B9E6270D07645F10B283C35D8BF9A35F58AB41E8CD4A1DD70D18BM:6D657373616765206469676HA=H?s?(ENTLAlⅡIDAIlalbllxclygllxpubllCC2DC29253D9C77385781813985D421AdA:C048380BBE577886A905D28E55433B3ACA963EF412BOF14C9C14y?:1214F7E5C4D4121DE8845B5D81F1373CBEB43EBBD6AA5B747FAA537194CE979754A401AB5BODA37BHA=H?56(ENTLAllIDAllallb|xcllygllxCC2DC29253D9C77385781813985D421A6C6F9CCBCE61FAD37EC7λ=H?56(xwAllywAllHA)modn:yp:8C5AF329D45B9E6270D07645F10B2x'1:80C8022B011044A139231y':1214F7E5C4D4121DE8845B5D81F138A25707C7600FC63A62D2F007C056FC080473CBEB43EBBD6AA5B747FAA537194CE979754A401AB5BODA37BM:010101010101010101010101010101010101010101010101010101010100101010101010101010101010101010101010101010101010101010HA=H?56(ENTLAl|IDAllal|bl|xgllycllCC2DC29253D9C77385781813985D421A6C6F9CCBCE61FAD37EC79D8B6EFC8F71ywa:0728185A257F64B79DFA929C16C987ED956FB32D00B6CAλ=H?56(xwAllywA|lHA)modn:F84BBC966F668583D734971C2F4DE1CC8A620CD6E4D09488E1FBE2052EFDC9E0xp:12B72E936C902048F99D77F4C556D112F72FDF6A7yp:8C5AF329D45B9E6270D07645F10B283k:4C62EEFD6ECFC2B95B92FD6C3D9575148AFA17425xi:11C88AE04CEC1BA554D03D5B5970333A83585826C2A98y?:84B52D344FB21AA8EA38A4940C8332692B8D4DA2393549212EAFDCOF11CA5C9Cx?:2629AB80DA9141F57C3B2BACB37D7EFF609AE3D7y?:39A685A93BF11374C582395938A?B40A50381F94E7A23B84B52D344FB21AA8EA38A4940C8330705DE4AD1F60968DE489936BFD3BE7E4765BAD37BAEDEF16992224F40B3A6C2F216B4BC722FA32672DA830E10BAE84Eq:FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFFa:FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF00000000FFFFFFFFFFFFFFFCb:28E9FA9E9D9F5E344D5A9E4BCF6509A7F39789F515AB8F92DDBCBD414D940E93n:FFFFFFFEFFFFFFFFFFFFFFFFFFFFFFFF7203DF6B21C60521F1981195F9904466A39C9948FE30BBFF2660BE1715AF4F6779C59BDCEE36B692153DOA9877CC62A474002DF32E52139FOA0ms:6BDD93B210F79415FE0F6388C1C932C208319FF7D7E99C972B3535C9F19A9FF9XPub:F294B710601DE1C5D34420C4902D81C3A30644903E5799BFE4013E56YPub:5C003EB1B50B9BBB2E8807782AA3C38EA800E23B30B777FAAD8FOF71用戶密鑰對生成過程數(shù)據(jù)：d'A:04914C20251A59A2C311102944C600430A02285Axu:DEOED7FDOB7D714476318954yu:3340A21A74CBD4B0D902AA5E780F45F9D79E8C按照B.3.2中隱式證書數(shù)據(jù)和標(biāo)識數(shù)據(jù)對應(yīng)關(guān)系獲得18000000A0808080808080808080909090002002373008400HA=H?6(ENTLAlTDAllallbxgllygll2138FC2CBF4B591D156757D998A245BAEAD4FFA85586342Ew:6CB28D99385C175C94F94E934817663FC176D925DD72B72726QDBAAE1FB2FXwA:DB6GBF80F08E3FEA9758A9490ywA:0728185人257FG?B79DEA929CI6CR87D956IB32D00B6CAP678156E6GE01530F43EOEBFDFFE622eCDB6C2641A27BOCC14F47D516C42E400FAED85用戶公鑰：xp:5E6203B3E?B8BGEDRICqyp:AOCFE288A04D33DD6BA589DA3AB307175AGED2CDTD9108AB29B29CD40A624按照附錄中隱式證書的格式編碼后形成ICA:0003018082122232425262728008000000a08080808080808080800023730084Q0C8812183DB65BF80F08E3FEA9758A9490F2C257A2D8ADEAA59DAA.6隱式證書系統(tǒng)數(shù)字簽名機(jī)制數(shù)據(jù)示例M:6D65737361676520646967600030183082122232425262728008000000a0808080808080808080909002373008400C8812183DB65BF80F08E3FEA9758A9490F2C257A2D8786CBFAFEF221E78按照B.3.2中隱式證書數(shù)據(jù)和標(biāo)識數(shù)據(jù)對應(yīng)關(guān)系獲得IDA:8000000a0808080808080808080909090002002373008400C8基于隱式證書ICA解壓縮獲得的WA=(xwA,ywA):xwA:DB65BF80F08E3FEA9758A9490F2C2ywa:0728185A257F64B79DFA929C16C987ED基于隱式證書的簽名過程示例：dA:43EOBBFDFFE6224ACCDB6C2905E41A27C1ABOCC141F47D516C42E400FAED8500CF308D3912BFD34444F7EDB5379160E74D4CEF12159C9749C16A391k:34914C20251A59A2C311102944C600430A02285A0433144228142A1848x?:80C8022B011044A1392310CD3B7E722E444y?:1214F7E5C4D4121DE8845B5D81F1384FF88F6513D017E57E1AFE82730FD3161F94787FA5E526A8F2C6HA=H?56(ENTL?l|IDAllallbl|xg2138FC2CBF4B591D156757D998A245BAλ=H?56(xwAllywAllHA)modn:D343E4E6679DBDBFBFED3F7Exp:5E6203B3E5B8B4C6FDA394C9ED0940C4143D7AECC933C129A3B5CB1A6yp:AOCFE288A?4D33DD6BA589DA3AB397CF308D3912BFD34444F7EDB5379160E74D4CEF12159C9749C16A39y'1:1214F7E5C4D4121DE8845B5D81F134FF88F6513D017E57E1AFE82730FD3161F94787FA5E526A8F2C62AD135784E99M:010101010101010101010101010101010101010101010101010101010100101010101010101010101010101010101010101010101010101010100030183082122232425262728008000000a0808080808080808080002373008400C8812183DB65BF80F08E3FEA9758A9490F2C257A2D8000000A08080808080808ywa:0728185A257F64B7HA=H?ss(ENTLAllIDAll2138FC2CBF4B591D156757D998A245BAEAD4FFA85586342EFFDAλ=H?56(xwAllyw?l|HA)modn:D343E4E6679DBDBFBFED3F7E9EF2491DEDF1FC14D6372A5A2530C731846D8F21πp:5E6203B3E5B8B4C6FDA394C9ED0940C4143D7AECC933C129A3B5CB1A6A950D1Byp:A0CFE288A04D33DD6BA589DA3AB397Fk:4C62EEFD6ECFC2B95B92FD6C3D9575148AFA17425546D49018E5388D49x?:11C88AE04CEC1BA5-54D03D5B5970333A_83585826C2A985DE5520EA38A4940C8332692B8D4DA2393549212EAFDCOy?:75697A80A3EC9DCB711EC=(C?,C?,C?)A91CF8CAFB9357ACA160COFCA276AD6247455CD31CC2AA3C83BBB54A503D0138D5970333A-83585896C2A985DE5520D9E93438984B52D344FB212A8EA38AT00(8332602B8EID12293549553B13CD4FC7158BDC6E3B84CQB95XAF0850702B3E2TBDE80DB基于隱式證書的解密過程系107EOB5390655908E21DBE段設(shè)置為1SubjectAssuranceOPTNULLOPTIONAL,PublicEncryptionKeyOPTIONAL,VerificationKeyIndi(WITHCOMPONENTS{..,appPermissionsPRESENT}ICOMPONENTS{...,certIssuCOMPONENTS{..,certRequesToBeSignedCertifica——cracaId用于識別負(fù)責(zé)發(fā)布證書撤銷列表的證書撤銷授權(quán)CA,它的證書可能出現(xiàn)在證書撤銷 certRequestPermissions表示證書持有者使用此證書簽署證書請求的權(quán)限——verifyKeyIndicator包含可用于恢復(fù)公鑰的公鑰還原數(shù)a)CA生成系統(tǒng)私鑰ms,系統(tǒng)公鑰Ppub=[ms]G;b)CA將[ms]G作為其簽名公鑰向其根CA申請一張CA證書。步驟b)中證書申請過程為標(biāo)準(zhǔn)證書申請過程，生成的證書為根CA為該CA簽發(fā)的CA證書。若無根CA,則該CA可生成自簽名的CA證書。本文件中的IDA至少包括ToBeSignedCertificate中從id域開始到encryptionKey域之前的數(shù)據(jù)域。若encryptionKey域存在且是普通公鑰，則IDA包括該數(shù)據(jù)域，否則IDA不包括該數(shù)據(jù)域。IDA所包括的數(shù)據(jù)域的編碼格式與ToBeSignedCertificate的編碼格式一致。IDA所包括的數(shù)據(jù)域的順序a)實(shí)體執(zhí)行6.2中的步驟A?和A?,產(chǎn)生隨機(jī)數(shù)d'A∈[1,n—1],計(jì)算UA=[d'A]G。c)CA驗(yàn)證隱式證書申請的合法性后，生成隱式證書中除密鑰verifyKeyIndicator的其他部分，即從id開始到encryptionKey的部分。如果encryptionKey域存在且是普通公鑰，則該密鑰按照普通密鑰生成方法生成。若encryptionKey域存在且是隱式證書類型的加密公鑰，則密鑰按照6.2規(guī)定的生成機(jī)制生成。CA按照B.3.2的方法構(gòu)造IDA,執(zhí)行6.2中的步驟KGC?~步驟KGC?,獲得tA和WA。d)CA將WA作為隱式證書中數(shù)據(jù)域verifyKeyIndicator的數(shù)據(jù)進(jìn)行編碼，生成完整的隱式e)如果實(shí)體在證書申請過程中生成了加密公私密鑰對(Q,c),并在證書申請中提供加密公鑰g)實(shí)體執(zhí)行6.2中的步驟A?和A?計(jì)算完整簽名私鑰dA并從隱式證書的數(shù)據(jù)域verifyKey-性和數(shù)據(jù)源真實(shí)性對Handle系統(tǒng)的安全至關(guān)重要。對于查詢或者管理需要額外授權(quán)的受控訪問a)GHR的公私密鑰對：用于為命名權(quán)威機(jī)構(gòu)Handle解析提供數(shù)據(jù)完整性和數(shù)據(jù)源真Handle值方式對外發(fā)布。LHS的公私密鑰對由LHS的管理機(jī)構(gòu)生成。LHS的公鑰通過Handle某個(gè)Handle的管理權(quán)限以及進(jìn)行身份認(rèn)證使用的密鑰Handle引用。<HS_ADMIN>類型HandleGHR的公私密鑰對可采用第6章